Vaše su datoteke kriptirane - što učiniti?

Jedan od najproblematičnijih malwarea danas je trojanski ili virus koji šifrira datoteke na korisničkom disku. Neke od tih datoteka mogu se dešifrirati, a neke - još ne. Priručnik pruža moguće algoritme za radnje u obje situacije, način određivanja specifične vrste enkripcije na uslugama Nema više otkupnine i ID Ransomware te kratki pregled programa za zaštitu od šifriranja virusa (otkupnine).

Postoji nekoliko izmjena takvih virusa ili trojanskih otkupnih izdavača (a novi se neprestano pojavljuju), ali opća je bit posla da nakon instalacije datoteka dokumenata, slika i drugih datoteka koje su potencijalno važne, kriptirane su ekstenzijom i brisanjem izvornih datoteka. zatim primite poruku u datoteku readme.txt koja kaže da su sve vaše datoteke kriptirane i da ih dešifriraju trebate poslati određeni iznos napadaču. Napomena: Ažuriranje autora autora sustava Windows 10 sad ima ugrađenu zaštitu od virusa enkripcije.

Što ako su svi važni podaci šifrirani

Za početak, neke opće informacije za suočavanje s enkripcijom važnih datoteka na vašem računalu. Ako su važni podaci na vašem računalu šifrirani, prije svega ne biste trebali paničariti.

Ako imate takvu priliku, kopirajte datoteku uzorka s zahtjevom za tekstom od napadača za dešifriranje i instancom šifrirane datoteke na vanjski pogon (flash pogon) s diska računala na kojem se pojavio šifriranje virusa (ransomware). isključite računalo tako da virus ne može nastaviti šifriranje podataka i izvršiti preostale radnje na drugom računalu.

Sljedeća faza je saznati koja vrsta virusa vaši podaci su šifrirani pomoću dostupnih šifriranih datoteka: za neke od njih postoje dekoderi (neki ću ovdje istaknuti, neki su označeni bliže kraju članka), za neke - još ne. Ali čak iu ovom slučaju, možete poslati primjere šifriranih datoteka u antivirusni laboratorij (Kaspersky, Dr. Web) za studij.

Kako saznati? To možete učiniti pomoću Googlea, pronalaženja rasprava ili vrste kriptograma po datotečnom nastavku. Također se počelo prikazivati ​​usluge za određivanje vrste otkupnine.

Nema više otkupnine

No More Ransom aktivno se razvija resurs, podržan od strane razvojnih programera sigurnosnih alata i dostupan u ruskoj verziji s ciljem suzbijanja virusa kriptografima (trojanski iznudionici).

Uz sreću, No More Ransom može pomoći u dešifriranju vaših dokumenata, baza podataka, fotografija i drugih informacija, preuzimanje potrebnih programa za dekriptiranje i prikupljanje informacija koje će u budućnosti izbjeći takve prijetnje.

Na No More Ransom, možete pokušati dešifrirati svoje datoteke i odrediti vrstu enkripcije virusa kako slijedi:

  1. Kliknite "Da" na glavnoj stranici usluge. https://www.nomoreransom.org/ru/index.html
  2. Otvorit će se stranica šerifa kripto, gdje možete preuzeti primjere šifriranih datoteka veličine veće od 1 MB (preporučujem da ne prenesete nikakve povjerljive podatke), kao i odredite adrese e-pošte ili web stranice na koje prevaranti traže otkupninu (ili preuzmite datoteku readme.txt s uvjet).
  3. Kliknite gumb "Provjeri" i pričekajte da se provjera i njezin rezultat završi.

Osim toga, stranica ima korisne odjeljke:

  • Decryptors - gotovo sve postojeće alate za dešifriranje virusnih šifriranih datoteka.
  • Sprječavanje infekcije - informacije usmjerene prvenstveno korisnicima novaka, što može pomoći u izbjegavanju infekcije u budućnosti.
  • Pitanja i odgovori - informacije za one koji žele bolje razumjeti rad virusa i akcija šifriranja u slučajevima kada ste suočeni sda su datoteke na računalu kriptirane.

Danas, No More Ransom vjerojatno je najrelevantniji i najkorisniji resurs povezan s dešifriranjem datoteka ruskom korisniku, preporučujem.

Id ransomware

Druga takva usluga jehttps://id-ransomware.malwarehunterteam.com/ (iako ne znam koliko dobro funkcionira za ruske varijante virusa, ali vrijedi pokušati hraniti uslugu primjerom šifrirane datoteke i tekstualne datoteke s zahtjevom za otkupnine).

Nakon što odredite vrstu kriptograma, ako uspijete, pokušajte pronaći program za dešifriranje ove opcije za upite poput: Decryptor Type_Chiler. Takve su alate besplatne i proizvode ih antivirusni programeri, na primjer, nekoliko takvih uslužnih programa može se naći na Kasperskyovom mjestu odjednom.https://support.kaspersky.ru/viruses/utility (ostali komunalije su bliže kraju članka). I, kao što je već spomenuto, ne ustručavajte se kontaktirati programere protuvirusnih programa na svojim forumima ili servisu za podršku putem pošte.

Nažalost, sve to ne pomaže uvijek i ne radi se uvijek o dešifriranju datoteka. U tom slučaju, scenariji su različiti: mnogi plaćaju uljeze, potičući ih da nastave s tom aktivnošću.Nekim korisnicima pomaže program za oporavak podataka na računalu (jer virus, stvaranjem šifrirane datoteke, briše redovnu, važnu datoteku koja se teoretski može oporaviti).

Datoteke na računalu šifrirane su u xtbl

Jedna od najnovijih inačica ransomware virusa šifrira datoteke zamjenom datoteka s nastavkom .xtbl i nazivom koji se sastoji od slučajnog skupa znakova.

Istodobno, na računalu se nalazi tekstualna datoteka readme.txt s približno sljedećim sadržajem: "Vaše su datoteke kriptirane. Da biste ih dešifrirali, trebate poslati kôd na adresu e-pošte [email protected], [email protected] ili [email protected] Pokušaji dešifriranja datoteka sami će dovesti do nepovratnog gubitka podataka "(adresa e-pošte i tekst se mogu razlikovati).

Nažalost, trenutačno nema načina za dešifriranje .xtbl (čim se pojavi, ažuriranje će se ažurirati). Neki korisnici koji su imali jako važne informacije o svojim računalima izvještavaju o protuvirusnim forumima da su poslali 5,000 rubalja ili drugu potrebnu količinu autora virusa i dobili dekoderu, ali to je vrlo rizično: nećete dobiti ništa.

Što ako su datoteke šifrirane u .xtbl? Moje preporuke su sljedeće (ali se razlikuju od onih na mnogim drugim tematskim mjestima gdje se, primjerice, preporučuje isključivanje računala iz napajanja ili ne da ukloni virus. Po mom mišljenju to je nepotrebno i pod određenim okolnostima može biti čak i štetno, ali odlučite.):

  1. Ako možete, prekinite postupak enkripcije uklanjanjem odgovarajućih zadataka u upravitelju zadacima, odspajanje računala s interneta (to može biti nužan uvjet za šifriranje)
  2. Zapamtite ili napišite kôd koji napadači trebaju poslati na adresu e-pošte (samo ne u tekstualnoj datoteci na računalu, samo u slučaju, tako da ona također ne počne biti šifrirana).
  3. Koristeći Malwarebytes Antimalware, probnu verziju programa Kaspersky Internet Security ili Dr.Web Cure It za uklanjanje virusa koji šifrira datoteke (svi gore navedeni alati rade dobar posao s ovim). Savjetujem vam da se izmjenjujete pomoću prvog i drugog proizvoda s popisa (iako ako imate instaliran protuvirusni protuvirusni softver, instalacija drugog "na vrh" nije poželjna jer može dovesti do problema u radu računala.)
  4. Pričekajte da se pojavljuje antivirusna tvrtka.Na čelu je Kaspersky Lab.
  5. Također možete poslati primjer kriptirane datoteke i potrebnog koda u [email protected]ako imate kopiju iste datoteke u nekriptiranom obliku, pošaljite ga. Teoretski, to može ubrzati izgled dekodera.

Što ne raditi:

  • Preimenujte šifrirane datoteke, promijenite proširenje i izbrišite ih ako su vam važni.

Ovo je vjerojatno sve što mogu reći o šifriranim datotekama s proširenjem .xtbl u ovom trenutku.

Datoteke su šifrirane better_call_saul

Od najnovijih virusnih virusa enkripcije, Better Call Saul (Trojan-Ransom.Win32.Shade), koji postavlja proširenje .better_call_saul za šifrirane datoteke. Kako dešifrirati takve datoteke još nije jasno. Korisnici koji su se obratili tvrtki Kaspersky Lab i Dr.Web primali su informacije da to trenutno ne može biti (no ipak pokušajte poslati - više uzoraka šifriranih datoteka od programera = vjerojatnije će pronaći način).

Ako se ustanovi da ste pronašli način dešifriranja (tj. Poslan je negdje, ali nisam slijedio), podijelite informacije u komentarima.

Trojan-Ransom.Win32.Aura i Trojan-Ransom.Win32.Rakhni

Sljedeći Trojan koji šifrira datoteke i instalira proširenja s ovog popisa:

  • .locked
  • .crypto
  • .kraken
  • .AES256 (ne nužno ova trojanska, postoje i drugi koji instaliraju isti nastavak).
  • .codercsu @ gmail_com
  • .enc
  • .oshit
  • I drugima.

Za dešifriranje datoteka nakon operacije tih virusa, na Kasperskyovoj web stranici je besplatan alat RakhniDecryptor, dostupan na službenoj stranici http://support.kaspersky.ru/viruses/disinfection/10556.

Tu je i detaljna uputa o tome kako koristiti ovaj program, pokazujući kako oporaviti šifrirane datoteke, od kojih bih, samo u slučaju, uklonio stavku "Brisanje šifriranih datoteka nakon uspješnog dešifriranja" (iako mislim da će sve biti u redu s instaliranom opcijom).

Ako imate licencu za Dr.Web anti-virus, možete koristiti besplatnu dešifriranje ove tvrtke na stranici http://support.drweb.com/new/free_unlocker/

Više varijanti virusa šifriranja

Rjeđe, ali postoje i sljedeći trojanci, šifriranje datoteka i zahtijevanje novca za dešifriranje. Navedene veze nisu samo uslužni programi za vraćanje vaših datoteka, već i opis znakova koji će vam pomoći utvrditi imate li ovaj virus. Iako je općenito najbolji način: uz pomoć programa Kaspersky Anti-Virus skenirate sustav, saznajte ime trojance prema klasifikaciji ove tvrtke, a potom potražite uslužni program tim imenom.

  • Trojan-Ransom.Win32.Rector je besplatan RectorDecryptor uslužni program za dešifriranje i korištenje vodič dostupan ovdje: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist je sličan trojanac koji prikazuje prozor traži od vas da pošaljete plaćeni SMS ili kontakt putem e-maila za upute o dešifriranju. Upute za oporavak šifriranih datoteka i uslužni program XoristDecryptor za to su na stranici http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - RannohDecryptor alat http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 i drugi s istim imenom (kada pretražuju putem Dr.Web anti-virusa ili Cure It uslužni programi) i različitim brojevima - pokušajte pretražiti na internetu po imenu Trojanski. Za neke od njih postoje i programi za dešifriranje Dr.Web, ako ne možete pronaći program, ali imate licencu Dr.Web, možete koristiti službenu stranicu http://support.drweb.com/new/free_unlocker/
  • CryptoLocker - za dekriptiranje datoteka nakon pokretanja CryptoLockera, možete koristiti web stranicu http://decryptcryptolocker.com - nakon slanja uzorka datoteke, dobit ćete ključ i program za oporavak datoteka.
  • Na licu mjestahttps://bitbucket.org/jadacyrus/ransomwareremovalkit/preuzimanja dostupnih Ransomware Removal Kit - velika arhiva s informacijama o različitim vrstama kriptografa i alata za dešifriranje (na engleskom)

Pa, od najnovijih vijesti - Kaspersky Lab, zajedno sa policajcima iz Nizozemske, razvio je Ransomware Decryptor (http://noransom.kaspersky.com) za dešifriranje datoteka nakon CoinVault-a, ali u našim širinama ovaj iznuđivač još nije pronađen.

Protuvirusni enkripti ili otkupnine

Uz proliferaciju Ransomwarea, mnogi proizvođači antivirusnih i anti-malware alata počeli su objavljivati ​​svoja rješenja kako bi spriječili enkripciju na računalu, uključujući:
  • Malwarebytes Anti-Ransomware
  • BitDefender Anti-Ransomware
  • WinAntiRansom
Prva dva su još uvijek u beta verziji, ali besplatni (oni podržavaju samo definiciju ograničenog broja virusa takve vrste - TeslaCrypt, CTBLocker, Locky, CryptoLocker - WinAntiRansom - plaćeni proizvod koji obećava da spriječi enkripciju gotovo svakim uzorkom otkupa, pružajući zaštitu lokalnim i mrežnih pogona.

Ali: ti programi nisu dizajnirani za dekriptiranje, već samo kako bi spriječili šifriranje važnih datoteka na vašem računalu. I u cjelini, čini mi se da ove funkcije trebaju biti implementirane u antivirusnim proizvodima, inače se dobiva neobična situacija: korisnik mora čuvati antivirusnu zaštitu na računalu, sredstvo za borbu protiv AdWare i zlonamjernih programa, a sada i Anti-Ransomware, iskorištavati.

Usput, ako se iznenada ispostavi da imate nešto za dodavanje (jer kako ne mogu imati vremena za praćenje onoga što se događa s metodama dešifriranja), prijavite u komentarima, te će informacije biti korisne drugim korisnicima koji su naišli na problem.